IA e conscientização são decisivas na cibersegurança, dizem especialistas

Os vazamentos de dados pessoais e corporativos se tornaram uma das principais preocupações do presente. Mas sempre há espaço para mais: em 2024, a Inteligência Artificial (IA) será utilizada para melhorar as ferramentas de cibersegurança, mas também corre o risco de ser explorada por cibercriminosos para aprimorar ataques contra empresas e usuários finais.

• LGPD completa 5 anos; estamos mais seguros com as novas regras?
• 5 dicas para empresas se protegerem de vazamentos de dados

É o que mostram as previsões da Check Point Software para 2024 compartilhadas com o Canaltech. A firma de cibersegurança indica a tendência para o aumento de ataques dirigidos por IA, que deve ser aproveitada para aprimorar e desenvolver novas ameaças em um ritmo mais acelerado.

As abordagens dos golpes também recebem um grande "empurrão" com o uso da IA, inclusive com deepfakes para elevar os índices de personificação.

Os ataques de phishing são as ameaças que mais devem aproveitar a tecnologia. Ao utilizar modelos generativos, hackers podem redigir textos com menos falhas e linguagens mais persuasivas para torná-los ainda mais convincentes e atingir mais pessoas ou empresas.

As soluções conseguem, ainda, auxiliar os cibercriminosos a criar campanhas mais personalizadas. Essa estratégia, somada ao texto bem redigido, dificulta a percepção de que se trata de um comunicado falso e fraudulento ou não.

Para marcar o Dia Internacional da Proteção de Dados, celebrado no último domingo (28), o Canaltech conversou com especialistas de cibersegurança e em proteção de dados a fim de entender se a IA pode atuar também do outro lado, no combate às ameaças digitais.

O outro lado

Apesar de favorecer ameaças digitais, há também o outro lado da moeda: a IA auxiliou em 2023 e vai ajudar as empresas em 2024 na resposta aos incidentes de cibersegurança e na proteção de dados. O reforço será aplicado tanto no desenvolvimento de soluções de segurança quanto na detecção de ameaças nos ambientes digitais.

Os sistemas de inteligência artificial também podem auxiliar na detecção de phishing nas caixas de e-mail para evitar o acesso a sites falsos ou executar arquivos maliciosos em celulares e computadores.

“O uso de inteligência artificial por atacantes de ransomware se tornará cada vez mais avançado, exigindo que as organizações não se concentrem apenas na prevenção de ataques, mas também melhorem sua resposta a incidentes e evoluam sua abordagem de segurança para se manterem à frente”, afirma o gerente de Engenharia de Segurança da Check Point, Fernando de Falchi.

A visão é compartilhada pelo sócio da área de Proteção de Dados e Inovação do FAS Advogados, Danilo Roque.

"Vejo como uma tendência muito grande a adoção da Inteligência Artificial [para a proteção de dados]", diz o especialista. "Não especificamente um modelo generativo ou de um fornecedor determinado, mas a incorporação da IA como um mecanismo de governança, como mecanismo de assegurar a conformidade, e também para ajudar na fiscalização [da adequação a normas] e no atendimento a direitos [digitais]".

A importância da conscientização

Os ataques de phishing são repassados por e-mails falsos para aproveitar a distração dos usuários. A ideia é direcionar os usuários a uma página clonada para roubar logins e senhas sem muito esforço. Em alguns casos, a abordagem espalha arquivos fraudulentos que resultam em ataques de ransomware, por exemplo.

Todo esse esforço é mais simples, e muitas vezes mais efetivo, do que direcionar ataques diretamente a um servidor. Por isso, os treinamentos e campanhas de conscientização também seguem como caminhos considerados essenciais para conter os incidentes, de acordo com os especialistas.

Os processos de treinamento para colaboradores não são novidades, explica de Falchi. “Hoje em dia, temos a gamificação de um treinamento, tornando-o mais dinâmico", disse. “Eu acho que ficou mais fácil para o usuário entender qual é o grande risco”.

Danilo Roque ressalta ainda que as campanhas de conscientização sempre foram importantes. “Elas ganham cada vez mais um papel de destaque para que não se ponha a perder todo o investimento de tempo e de dinheiro que as empresas fazem [em soluções de segurança]”, comenta.

Essa preocupação, contudo, ainda não é exatamente igual fora dos escritórios. Sócio das áreas de Proteção de Dados e Cybersecurity e de Blockchain e Inovação do BMA, Felipe Palhares lembra que o Brasil é um país de realidades muito diferentes. “Tem gente que nunca ouviu falar de proteção de dados pessoais e a gente precisa conscientizar a população como um todo”, exemplifica.

Esforço combinado

Mas existem esforços para alterar essa realidade, ainda que não seja de imediato. Além das campanhas das empresas de tecnologia, que chegam a apontar a privacidade como um diferencial em seus produtos, a Agência Nacional de Proteção de Dados (ANPD) lançou uma agenda de iniciativas educacionais para ser realizada ao longo do ano.

A expectativa é de que todas essas iniciativas ajudem a conscientizar a população brasileira quanto à importância da proteção de dados pessoais. Esse processo, no entanto, ainda deve levar bastante tempo até ser concretizado.

ANPD mais ativa em 2024

Parte das expectativas surge da primeira sanção aplicada pelo órgão fiscalizador desde a sua fundação. “No ano passado, a gente teve três sanções”, disse Palhares. “Esse ano a gente deve ter uma fiscalização cada vez mais relevante, especialmente se a ANPD conseguir contratar novos servidores”.

A Agência Nacional de Proteção de Dados, vale lembrar, foi criada em 2018 para regular e fiscalizar a aplicação da Lei Geral de Proteção de Dados (LGPD). Desde 2022, com a publicação da Lei 14.460/22, o órgão é tratado como uma autarquia de natureza especial, não mais vinculado à Presidência.

Trata-se de um momento aguardado desde que a LGPD entrou em vigor, em 2020. Especialmente ao considerar que, em vários trechos, a legislação faz uma remissão à ANPD, mostrando uma interdependência direta com o órgão fiscalizador.

Apesar das primeiras ações enérgicas da agência, há de se considerar que a ANPD possui uma estrutura enxuta. O sócio da FAS Advogados observa que, devido ao corpo reduzido, a agência não tem conseguido regular tudo com a velocidade pretendida. Mas há estimativa de mudanças.

“Tem uma discussão de abrir um concurso público para a ANPD”, disse Felipe Palhares, do BMA. “Se for aprovado e se efetivamente o órgão regulador conseguir contratar mais gente, a tendência é que a fiscalização aumente.”

Faça backup dos seus dados

Ano após ano, a incidência de ataques e vazamento de dados cresce. Especialmente no Brasil que, segundo a Check Point Software, sofre principalmente com ransomware. Por isso, é importante realizar algumas ações cotidianas para evitar os incidentes de segurança e, principalmente, perder informações importantes.

Fernando de Falchi ressalta a importância do backup para recuperar os dados após um incidente. “A gente precisa ter essas informações salvas para quando acontecer, e vai acontecer mais cedo ou mais tarde”, explicou.

Felipe Palhares, do BMA, também recomenda revisar os aplicativos instalados no celular. Esse procedimento ajuda a controlar as plataformas que têm acessos aos dados dos usuários, a fim de evitar coletas desnecessárias e, posteriormente, um possível vazamento.

É preciso manter, principalmente, um cuidado redobrado sobre as senhas. Além de evitar reutilização, o uso da autenticação de múltiplos fatores (MFA) é fundamental para impedir acessos indevidos em caso de vazamento de credenciais. A chave de segurança (passkey) é outro item que auxilia a reforçar a proteção dos sistemas.

Já Danilo Roque, do FAS Advogados, orienta as empresas a “entender para que você tem os dados dentro de casa”. Essa atenção ajuda a manter apenas as informações necessárias e, ao mesmo tempo, direcionar recursos para minimizar ou eliminar os riscos de vazamentos de dados pessoais.